专利一种以太网虚拟化互联网络的访问控制的技术黄山.doc

为了实现高可靠性和冗余部署,大多数企业网络及其数据中心跨越了部署有类似业务但位于不同地理位置的多个物理站点。这些物理站点之间通过二层互联,使虚拟机能够无缝迁移,以确保站点间的资源动态调配和管理。本专利申请的目的在于,根据数据中心的应用需求,灵活控制数据中心各站点之间的互通访问。一种以太网虚拟化互联网络的访问控制技术文/黄山图1EVI典型组网模型图图1所示为典型的EVI(VirtualizationInterconnection,以太网虚拟化互联)组网模型,各站点的边缘设备上配置有本站点的访问控制策略,其中,ED1的访问控制策略为:与所有站点网络互访;ED2访问控制策略为:与站点网络3之外的所有站点网络互访;ED3的访问控制策略为:仅与站点网络1互访。部署为ENDS的ED1设备维护同一个EVI网络实例内的客户端信息,部署为ENDC的ED2和ED3向ED1发送注册报文。ED1根据ED2和ED3的注册报文学****EVI实例内ENDC的信息,分别发送注册应答报文至ED2和ED3,发布EVI网络实例中所有ENDC信息,其中ENDS本身也作为EVI网络实例内的ENDC设备。ED1根据本设备配置的访问控制策略确定允许向ED2以及ED3发送Hello协议报文,ED1对该Hello报文进行封装,并从数据平面单播发送至ED2和ED3。ED2和ED3对接收的Hello协议报文进行解封装,上送控制平面的ISIS进程。ED2和ED3各自根据本设备的访问控制策略,接受该Hello协议报文,并分别向ED1发送携带ED1信息的Hello报文。ED1收到ED2和ED3的Hello报文时,激活邻居,并分别发送携带ED2信息的Hello报文至ED2,携带ED3信息的Hello报文至ED3,ED2和ED3收到Hello报文后也激活邻居。至此,ED1与ED2之间以及ED1与ED3之间的邻居关系建立。图2ED邻居间的虚拟转发通道如图2所示,互为邻居的ED1与ED2之间建立虚拟转发通道,ED1与ED3之间建立转发通道。ED1学****到EVI实例的本地主机1的MAC地址,将其携带在ISIS协议的LSP报文并进行封装,再单播发送给ED2和ED3。ED2和ED3对接收的LSP报文进行解封装,各自将本设备与ED1之间的虚拟转发通道接口作为出接口,记录写入本地EVI实例转发表中主机1的MAC地址表项。当ED2收到来自主机2发往主机1的数据帧后,ED1进行源MAC地址学****将主机2的MAC地址携带在ISIS协议的LSP报文,进行封装,再单播发送给ED1。ED1对接收的LSP报文进行解封装,将本设备与ED2之间的虚拟转发通道接口作为出接口,记录写入本地EVI实例转发表中主机2的MAC地址表项。ED2根据数据帧的目的MAC地址,在EVI实例的转发表项查找到出接口是连接ED1上的虚拟转发通道接口,则为数据帧封装以太网头和外层IPGRE隧道头,将数据帧封装为EVI报文。其中,IPGRE隧道的外层IP头中的源IP地址,为本设备上虚拟转发通道接口承载的IP地址,目的IP地址是对端虚拟转发通道接口承载的IP地址。外层以太网头的目的MAC地址为到达ED1的下一跳的MAC地址,源MAC地址ED2的MAC地址,VLANID为公网的VLA